Configurer Microsoft Defender pour point de terminaison pour diffuser en continu les événements de repérage avancé vers votre compte de stockage
S’applique à :
Remarque
Pour obtenir l’expérience de streaming de données complète disponible, visitez Stream Microsoft Defender XDR événements | Microsoft Learn.
Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.
Avant de commencer
Create un compte de stockage dans votre locataire.
Connectez-vous à votre locataire Azure, accédez à Abonnements > Vos fournisseurs de ressources > d’abonnement > Inscrivez-vous à Microsoft.insights.
Activer la diffusion en continu de données brutes
Connectez-vous au portail Microsoft Defender en tant qu’administrateur général ou administrateur de la sécurité.
Accédez à la page Paramètres d’exportation de données dans Microsoft Defender XDR.
Sélectionnez Ajouter des paramètres d’exportation de données.
Choisissez un nom pour vos nouveaux paramètres.
Choisissez Transférer des événements vers stockage Azure.
Tapez votre ID de ressource de compte de stockage. Pour obtenir votre ID de ressource de compte de stockage, accédez à la page de votre compte de stockage sous Portail Azure> onglet > Propriétés copiez le texte sous ID de ressource du compte de stockage :
Choisissez les événements que vous souhaitez diffuser en continu, puis sélectionnez Enregistrer.
Schéma des événements dans le compte de stockage
Un conteneur d’objets blob est créé pour chaque type d’événement :
Le schéma de chaque ligne d’un objet blob est le code JSON suivant :
{ "time": "<The time WDATP received the event>" "tenantId": "<Your tenant ID>" "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>" "properties": { <WDATP Advanced Hunting event as Json> } }
Chaque objet blob contient plusieurs lignes.
Chaque ligne contient le nom de l’événement, l’heure à laquelle Defender pour point de terminaison a reçu l’événement, le locataire auquel il appartient (vous obtenez les événements de votre locataire uniquement) et l’événement au format JSON dans une propriété appelée « properties ».
Pour plus d’informations sur le schéma des événements Microsoft Defender pour point de terminaison, consultez Vue d’ensemble de la chasse avancée.
Dans Repérage avancé, la table DeviceInfo comporte une colonne nommée MachineGroup qui contient le groupe de l’appareil. Ici, chaque événement est également décoré avec cette colonne. Pour plus d’informations, consultez Groupes d’appareil.
Remarque
La création de groupes d’appareils est prise en charge dans Defender pour point de terminaison Plan 1 et Plan 2.
Mappage des types de données
Pour obtenir les types de données de nos propriétés d’événements, procédez comme suit :
Connectez-vous à Microsoft Defender XDR et accédez à la page Repérage avancé.
Exécutez la requête suivante pour obtenir le mappage des types de données pour chaque événement :
{EventType} | getschema | project ColumnName, ColumnType
Articles connexes
API de streaming Microsoft Defender pour point de terminaison
Stream Microsoft Defender pour point de terminaison des événements à votre compte de stockage Azure
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour